Blog do Oswaldo: URGENTE - VÍRUS CONFICKER

Amigos

Amanhã, dia 01 de abril, é o dia D para o ataque do Vírus CONFICKER.

É um vírus extremamente poderoso que explora uma vulnerabilidade do Windows XP.

É tão perigoso que foi criado um grupo internacional para combatê-lo: o CONFICKER WORK GROUP.

Entretanto, como todo vírus, ele explora, além das falhas do sistema, as próprias falhas do usuário.

Pode não acontecer nada em sua máquina ou poderá ter problemas.

SE:

- os antivírus estiverem atualizados

- o usuário da máquina não tem o hábito de clicar em mensagens estranhas

- não costuma abrir sites de conteúdo duvidoso no seu micro

- procura um suporte técnico adequado e não um "fuçador" quando tem problema.

- as senhas que usa o micro não sejam óbvias (tipo: asdf; 1234; fofo; etc...). (Eu tenho defendido que todos os micros tenham senha no XP.)

Não há muito motivo para se preocupar.

NO ENTANTO, por segurança, faça download da ferramenta de segurança da Symantec, no endereço abaixo e aplique-a.

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe salve, de preferência, no DESKTOP ou na Tela de Entrada.

DEPOIS de feito o download, feche os programas que puder: Word, Excel, Internet Explorer, etc...

Por segurança, DESCONECTE o micro da Internet ou da rede (basta desligar o modem ou tirar o cabo de rede).

Dê 2 cliques no ícone da ferramenta de remoção e deixe-a trabalhar.

Se tiver problemas quando rodar a ferramenta, tente reiniciar seu micro no Modo de Segurança e rodá-la.

Abraço

Oswaldo

=============

P.S.:

Para os mais interessados nos detalhes, abaixo vai uma descrição técnica do ataque do vírus (vale a pena notar o "dicionário" de senhas óbvias que o "bichinho" tem):

Descoberto: 30 de Dezembro de 2008

Atualizado: 12 de Janeiro de 2009 3:29:56 PM

Também conhecido como: Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky], Conficker.D [Panda Software]

Tipo: worm

Sistemas afetados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Referências CVE: CVE-2008-4250

Uma vez executado, o worm verifica a presença das seguintes entradas de registro e, se não estiverem presentes, serão criadas:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"

Depois, faz uma cópia de si mesmo como os seguintes arquivos:

%ProgramFiles%\Internet Explorer\[NOME DE ARQUIVO ALEATÓRIO].dll
%ProgramFiles%\Movie Maker\[NOME DE ARQUIVO ALEATÓRIO].dll
%System%\[NOME DE ARQUIVO ALEATÓRIO].dll
%Temp%\[NOME DE ARQUIVO ALEATÓRIO].dll
C:\Documents and Settings\All Users\Application Data \[RANDOM NOME DE ARQUIVO ALEATÓRIO].dll

Cria um novo serviço com as seguintes características:
Nome do serviço: [CAMINHO DO WORM]
Nome de exibição: [NOME DO SERVIÇO GERADO PELO WORM]
Tipo de inicialização : Automática

Depois, registra-se como um serviço, criando as seguintes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME DO SERVIÇO GERADO PELO WORM]\Parameters\"ServiceDll" = "[CAMINHO DO WORM]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME DO SERVIÇO GERADO PELO WORM]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesNOME DO SERVIÇO GERADO PELO WORM]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME DO SERVIÇO GERADO PELO WORM]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[NOME DO SERVIÇO GERADO PELO WORM]\"ErrorControl" = "4"

Nota: [NOME DO SERVIÇO GERADO PELO WORM] representa uma combinação de duas palavras obtidas de uma lista das seguintes palavras:

Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

O worm cria a seguinte entrada de registro para ser executado cada vez que o Windows é iniciado:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[NOME ALEATÓRIO]" = "rundll32.exe "[NOME DE ARQUIVO ALEATÓRIO].dll", ydmmgvos"

Depois, o worm exclui qualquer ponto de Restauração do sistema criado pelo usuário.

Em seguida, o worm executa um comando que acelera o acesso de rede no computador comprometido desativando o direcionamento automático de TCP/IP do Windows Vista para propagar-se mais rápido.

O worm também modifica a seguinte entrada de registro para poder propagar-se com maior rapidez pela rede:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"

Depois, o worm interrompe os seguintes serviços do Windows:

Background Intelligent Transfer Service (BITS)
Windows Automatic Update Service (wuauserv)

Em seguida, o worm modifica o seguinte arquivo para desativar o limite de conexões semi-abertas estipulado pelo Windows XP SP2:
%System%\drivers\tcpip.sys

Também tenta ocultar-se do sistema modificando o seguinte valor de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

Depois, o worm faz uma contagem dos compartilhamentos de rede ADMIN$ disponíveis. Em seguida, faz uma contagem dos usuários desses compartilhamentos e tenta estabelecer uma conexão como um usuário existente, com uma das seguintes senhas:

000
0000
00000
0000000
00000000
0987654321
111
1111
11111
111111
1111111
11111111
123
123123
12321
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
222
2222
22222
222222
2222222
22222222
321
333
3333
33333
333333
3333333
33333333
4321
444
4444
44444
444444
4444444
44444444
54321
555
5555
55555
555555
5555555
55555555
654321
666
6666
66666
666666
6666666
66666666
7654321
777
7777
77777
777777
7777777
77777777
87654321
888
8888
88888
888888
8888888
88888888
987654321
999
9999
99999
999999
9999999
99999999
a1b2c3
aaa
aaaa
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
file
files
foo
foobar
foofoo
forever
freedom
fuck
games
home
home123
ihavenopass
Internet
internet
intranet
job
killer
letitbe
letmein
login
Login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass
pass1
pass12
pass123
passwd
password
Password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqq
qqqq
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root
root123
rootroot
sample
secret
secure
security
server
shadow
share
sql
student
super
superuser
supervisor
system
temp
temp123
temporary
temptemp
test
test123
testtest
unknown
web
windows
work
work123
xxx
xxxx
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzz
zzzz
zzzzz

Nota: Dependendo das configurações de bloqueio da conta, várias tentativas de autenticação do worm podem desbloquear essas contas.

Se conseguir, o worm faz uma cópia de si mesmo para o compartilhamento como o seguinte arquivo:
[NOME DE COMPARTILHAMENTO]\ADMIN$\System32\[RANDOM FILE NAME].dll

Depois, cria uma tarefa agendada no servidor remoto para que seja executado diariamente o seguinte comando:
"rundll32.exe [NOME DE ARQUIVO ALEATÓRIO].dll, [STRING DE PARÂMETRO ALEATÓRIO]"

Em seguida, o worm se conecta às seguintes URLs para obter o endereço IP do computador comprometido:

http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org

O worm cria uma regra de firewall no dispositivo de gateway da rede local, permitindo que invasores remotos se conectem e façam download a partir do endereço IP externo do computador comprometido através de uma porta aleatória.

Depois, o worm cria um servidor HTTP no computador comprometido em uma porta aleatória com o seguinte formato:
http://[ENDEREÇO IP EXTERNO DO COMPUTADOR COMPROMETIDO]:[PORTA ALEATÓRIA]

Em seguida, envia essa URL aos computadores remotos.

Depois, o worm tenta propagar-se explorando a seguinte vulnerabilidade para que os computadores remotos se conectem ao nome da URL acima e façam o download do worm:
Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)

O worm tenta fazer uma cópia de si mesmo em qualquer unidade mapeada acessível como o seguinte arquivo:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[NOME DE ARQUIVO ALEATÓRIO].dll

O worm também tenta criar o seguinte arquivo em qualquer unidade mapeada acessível para ser executado sempre que a unidade for acessada:
%DriveLetter%\autorun.inf

Também monitora o computador comprometido sobre qualquer unidade nova adicional e, então, tenta infectá-la da mesma maneira.

O worm usa um número de ligações Window API para propagar-se e dificultar sua remoção.

O worm também usa o NetpwPathCanonicalize API e, ao ativá-lo, verifica o comprimento do PathName (nome do caminho) para evitar explorar outra vulnerabilidade. Se o PathName tiver uma assinatura, o worm originalmente a tem, o PathName pode conter uma URL criptografada da qual o worm pode fazer o download de um arquivo e ser executado.

O worm faz um patch dos seguintes APIs na memória:

DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

O worm monitora as solicitações DNS para domínios contendo qualquer uma das seguintes strings e bloqueia o acesso desses domínios para que seja exibido no limite de tempo da solicitação de rede:

ahnlab
arcabit
avast
avg.
avira
avp.
bit9.
ca.
castlecops
centralcommand
cert.
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
nai.
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
sans.
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
vet.
virus
wilderssecurity
windowsupdate

Faz contato com um dos seguintes sites para obter a data atual:

baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org
aol.com
cnn.com
ebay.com
msn.com
myspace.com

Depois, verifica para ver se a data do computador comprometido é, pelo menos, 1 de janeiro de 2009.

O worm criará uma lista de nomes de domínio com base nessa data no seguinte formato:
[NOME DE DOMÍNIO CRIADO].[DOMÍNIO DE ALTO NÍVEL]

Nota: [DOMÍNIO DE ALTO NÍVEL] representa os seguintes domínios:

.biz
.info
.org
.net
.com
.ws
.cn
.cc

Nota: [NOME DE DOMÍNIO CRIADO] representa os nomes de domínio criados pelo worm como a seguinte lista de exemplos de nomes criados para 1 de janeiro de 2009:

aaidhe.net
aamkn.cn
abivbwbea.info
aiiflkgcw.cc
alfglesj.info
amcfussyags.net
amzohx.ws
apaix.ws
argvss.info
arolseqnu.ws
asoidakm.cn
atnsoiuf.cc
avweqdcr.cn
axaxmhzndcq.cc
barhkuuu.com
bbuftxpskw.cc
bdykhlnhak.cc
bdzpfiu.biz
bijkyilaugs.cn
bjpmhuk.ws
bmmjbsjidmt.com
bzagbiwes.cc
carse.cn
cauksxf.biz
cfhlglxofyz.biz
cinsns.cc
ciynbjwm.com
cljivsb.biz
cpeadyepcis.biz
cqnxku.ws
ctmchiae.ws
cxjsy.net
czkdu.net
dbffky.cn
dgbdjsb.com
drpifjfxlyl.ws
dtosuhc.org
duahpzq.org
dwrtwgsm.cn
dyjomzyz.com
earuldx.cn
egqoab.net
egxbsppn.cn
ehkvku.cn
elivvks.net
emxmg.info
eobvidij.org
erwojl.org
evqvmwgw.cn
ewioygq.biz
exxkvcz.cc
ffaqk.info
fhlwov.net
fitjg.net
fkhbumne.info
fknacmvowib.cn
fmdsqasqm.net
fmgcjv.cn
fpljpuqp.info
fsrljjeemkr.info
fthil.cc
ftphtsfuv.net
gbgklrka.cc
gbmkghqcqy.net
gbxyu.ws
gezjwr.biz
gjbwolesl.info
glkzckadwu.biz
gmvhjp.ws
gsvrglz.cc
gutvjbektzq.com
gwtqx.cn
hbyzvpeadkb.net
hewdw.ws
hjcxnhtroh.cn
hltowx.com
hqjazhyd.com
hrmirvid.com
hudphigb.org
hvagbqmtxp.info
idvgqlr.ws
ihnvoeprql.biz
iidqkzselpr.com
ijthszjlb.com
iklzskqoz.cn
iqgnqt.org
iqrzamxo.ws
isjjlnv.org
iudqzypn.cn
iyfcmcaj.cn
jayrocykoj.ws
jffhkvhweds.cn
jfxcvnnawk.org
jgrftgunh.org
jguxjs.net
jhanljqti.cc
jhvlfdoiyn.biz
jjhajbfcdmk.net
jkisptknsov.biz
jknxcxyg.net
jlouqrgb.org
jpppffeywn.cc
jradvwa.biz
juqsiucfrmi.net
jvnzbsyhv.org
jxnyyjyo.net
kaonwzkc.info
kdcqtamjhdx.ws
kgeoaxznfms.biz
kihbccvqrz.net
kimonrvh.org
kjsxwpq.ws
kkrxwcjusgu.cn
knqwdcgow.ws
koaqe.cc
kodzhq.org
kqjvmbst.net
kufvkkdtpf.net
kxujboszjnz.ws
lagcrxz.cc
lawwb.com
lbdfwrbz.net
ljizrzxu.cc
lmswntmc.biz
lotvecu.com
lplsebah.cn
lxhmwparzc.ws
lyamwnhh.info
mciuomjrsmn.cn
mdntwxhj.cn
meqyeyggu.cc
mfigu.cn
mimdezm.biz
mkdsine.cn
mmtdsgwfa.net
mouvmlhz.cc
mozsj.biz
mpqzwlsx.ws
msvhmlcmkmh.biz
mtruba.ws
myrmifyuqo.biz
naucgxjtu.ws
ncwjlti.cn
nertthl.net
nnxqqmdl.info
nuxtzd.cn
nxvmztmryie.ws
nybxvgb.net
nzsrgzmhay.net
oadscrk.org
oezepyh.info
ojrswlg.net
olgjkxih.org
omqxqptc.ws
ooudifyw.cn
opkawiqb.cn
oqsfz.ws
orvfkx.cc
otoajxfn.net
oxeeuikd.net
oyezli.com
pfath.info
plsexbnytn.com
poplie.cc
psbdfflh.cn
qfmbqxom.ws
qjvtczqu.com
qpcizvlvio.biz
qslhoks.cn
qtcnfvf.biz
qtsnk.cn
qzktamrsgu.cn
rbhixtifxk.cc
rccoq.net
rgievita.ws
rlrbqpxv.org
rozhtnmoudg.cc
rpsctacalyd.cn
rrmkv.com
rtpuqxp.net
rtztoupc.net
satmxnz.ws
sbtalilx.com
sdjnaeoh.cc
sirkqq.org
sjkkfjcx.biz
sjkxyjqsx.net
stmsoxiguz.net
tdeghkjm.biz
tkhnvhmh.biz
tmdoxfcc.org
torhobdfzit.cc
trdfcxclp.org
tscmbj.net
tuwcuuuj.com
txeixqeh.biz
uazwqaxlpq.info
ubxxtnzdbij.com
ucnfehj.org
uekmqqedtfm.com
uhtmou.ws
uhveiguagm.biz
uoieg.ws
uttcx.net
uyhgoiwswn.cc
uyvtuutxm.cn
vfxifizf.info
vupnwmw.biz
vzqpqlpk.ws
waeqoxlrprp.org
wdrvyudhg.cc
wediscbpi.org
whgtdhqg.net
wkstxvzr.org
wmrgzac.info
wnwqphzao.info
wsajx.com
wskzbakqfvk.org
wtngipaynh.info
wumvjpbbmse.cc
wuzunxevor.info
wwftlwlvm.org
xcncp.info
xeeuat.com
xhazhbir.biz
xjnyfwt.org
xlrqvoqmsxz.info
xqgbn.cn
xwrrxwmo.cc
xxabrkhb.cc
xxmgkcw.cc
xxxxgvtaa.com
xzoycphicpk.com
ybbfrznr.info
ycceqdmm.cc
ydxnochqn.org
ygmwharv.info
ylnytttckyc.com
yuvudlsdop.cc
ywhaunsyez.cc
ywxdggnaaad.org
zindtsqq.ws
zkywmqx.com
zoosmv.info
zqekqyq.cn
zqked.org
zsatn.ws
ztgsd.info
ztioydng.com
zzczpujz.biz

Em seguida, o worm faz contato com o seguinte local remoto com base nos nomes de domínio criados:
http://[[NOME DE DOMÍNIO CRIADO].[DOMÍNIO DE ALTO NÍVEL]/search?q=%d

Depois, fará o download de uma cópia atualizada de si mesmo a partir desse local remoto.

Recomendações

O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:

Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.

Elaborado por: Sean Kiernan

Páginas

Links patrocinados

terça-feira, 31 de março de 2009

URGENTE - VÍRUS CONFICKER

Recomendações

Nenhum comentário: